Spring til indhold

Databehandleraftale (DPA)

Sidst opdateret: 25. juni 2026

Når Grundfast behandler personoplysninger på vegne af en kunde — fx hvis ejer-enrichment aktiveres, eller kundens egne data flyder gennem API'et — er kunden dataansvarlig og Grundfast databehandler. Denne side opsummerer den databehandleraftale (art. 28 GDPR), der kan indgås. Skriv til hej@grundfast.dk for at få den underskriftsklare aftale.

1. Genstand og instruks

Grundfast behandler kun personoplysninger efter kundens dokumenterede instruks og alene med det formål at levere den aftalte tjeneste.

2. Underdatabehandlere

Grundfast anvender HostStack (hosting/database), Stripe (betaling) og PostStack (e-mail), alle i EU/EØS. Kunden giver generel forhåndsgodkendelse til disse, og Grundfast varsler mindst 30 dage før en ny underdatabehandler tages i brug eller en eksisterende udskiftes, så kunden kan gøre indsigelse.

3. Sikkerhed

Tekniske og organisatoriske foranstaltninger omfatter kryptering i transit (TLS 1.2+/HSTS) og af data i hvile (AES-256), adgangskoder gemt som Argon2id-hash, API-nøgler gemt som hash, rollebaseret adgangsstyring, rate-limiting, logget adgang og revisionslog over administrative handlinger, netværksisolation pr. projekt samt automatiske, krypterede off-site backups af databaser.

4. Sletning og tilbagelevering

Ved ophør sletter eller tilbageleverer Grundfast personoplysninger efter kundens valg inden for 30 dage, medmindre opbevaring kræves ved lov.

5. Bistand, brud og revision

Grundfast bistår kunden med håndtering af de registreredes rettigheder, underretter uden unødig forsinkelse ved sikkerhedsbrud og stiller den nødvendige dokumentation til rådighed for revision. Grundfast besvarer dokumenterede revisionsanmodninger inden for 30 dage og stiller én gang årligt — eller efter tilsynsmyndighedens krav — relevant dokumentation til rådighed.

6. Personoplysninger om boligejere (ejer-enrichment)

Hvis og når ejer-enrichment aktiveres, gælder særlige vilkår, der afspejler den legitime interesse-vurdering (LIA) for ejerdata, herunder en spærreliste (art. 21) og forbud mod markedsføringsbrug. Indtil disse forudsætninger er på plads, eksponeres ejernavne ikke.

Spørgsmål til dette dokument? Skriv til hej@grundfast.dk.